Τον περασμένο μήνα, η καναδική εταιρεία λιανικής ανδρικών ενδυμάτων Harry Rosen επλήγη από παραβίαση δεδομένων με ransomware της BianLian.
Αυτό έγινε γνωστό μετά από την καταχώρηση της Harry Rosen ως θύμα από την ομάδα BianLian στον ιστότοπό της. Η σελίδα απαριθμεί διάφορα πιθανά αρχεία-στόχους, όπως “file server data, projects, μάρκετινγκ, ανθρώπινο δυναμικό, δημόσιες σχέσεις”, γεγονός που υποδηλώνει ότι αυτά έχουν αντιγραφεί και ενδέχεται να κυκλοφορήσουν κάποια στιγμή στο μέλλον.
Η ομάδα χάκερ Bianlian διείσδυσε στα συστήματα πληροφορικής της Harry Rosen με κακόβουλο λογισμικό ransomware. Μόλις μπήκαν στα συστήματά τους, κατάφεραν να αποκτήσουν πρόσβαση σε μια λίστα με τους πελάτες Gold+ της Harry Rosen, πληροφορίες πωλήσεων, δεδομένα πελατών καθώς και σε εμπιστευτικές πληροφορίες σχετικά με τις εσωτερικές λειτουργίες της εταιρείας. Ο Brett Callow, αναλυτής απειλών της Emsisoft που εδρεύει στη Βρετανική Κολομβία, δήλωσε ότι η BianLian κυκλοφόρησε ένα αρχείο 1GB ως απόδειξη της επίθεσής της.
Δείτε επίσης: Vice Society ransomware: Επιτέθηκε στο κολέγιο Cincinnati State
Το πρωί της Παρασκευής, το IT World Canada ρώτησε τον διευθύνοντα σύμβουλο της εταιρείας, τον Larry Rosen, σχετικά με μια πιθανή επίθεση στον κυβερνοχώρο. Ο ίδιος απάντησε με το ακόλουθο email επιβεβαίωσης: “Η Harry Rosen έπεσε θύμα μιας επίθεσης στον κυβερνοχώρο που περιήλθε σε γνώση μας στις 9 Οκτωβρίου. Το δίκτυό μας είναι πλέον ασφαλές και βρισκόμαστε σε τακτική επικοινωνία με τους πελάτες και τους υπαλλήλους μας σχετικά με το περιστατικό. Το αναφέραμε επίσης στην αστυνομία και στην ομοσπονδιακή ρυθμιστική αρχή προστασίας της ιδιωτικής ζωής και στις ρυθμιστικές αρχές προστασίας της ιδιωτικής ζωής στην Αλμπέρτα και το Κεμπέκ”
Η Harry Rosen ρωτήθηκε αν η επίθεση που επιβεβαιώθηκε ότι ήταν ransomware, επηρέασε επίσης τις λειτουργίες της εταιρείας. Η εταιρεία λιανικής πώλησης δεν είχε κανένα περαιτέρω σχόλιο.
Ο Callow δήλωσε ότι η παραλλαγή του ransomware BianLian εμφανίστηκε για πρώτη φορά τον Αύγουστο. Δυστυχώς, πολύ λίγα είναι γνωστά προς το παρόν για αυτόν τον απειλητικό παράγοντα, συμπεριλαμβανομένου του αν έχει οποιεσδήποτε συνδέσεις με άλλα δίκτυα κυβερνοεγκλήματος. Όπως και οι περισσότερες ομάδες πάντως, ο Callow πιστεύει ότι η στόχευσή τους εμφανίζεται τυχαία με θύματα από διάφορους κλάδους, όπως η υγειονομική περίθαλψη και τα μέσα μαζικής ενημέρωσης μεταξύ άλλων.
Η BlackBerry δημοσίευσε μια έκθεση που αναφέρει ότι το ransomware BianLian, γραμμένο για συστήματα Windows με τη γλώσσα Go, είναι σε θέση να κρυπτογραφεί αρχεία πολύ πιο γρήγορα από παρόμοια προγράμματα. Η BlackBerry πιστεύει επίσης ότι οι επιδιωκόμενοι στόχοι αυτής της ομάδας είναι εταιρείες και όχι κάποια συγκεκριμένη χώρα. Τα τρέχοντα καταγεγραμμένα θύματα σύμφωνα με τον ιστότοπο της συμμορίας είναι από τις Ηνωμένες Πολιτείες, την Αυστραλία και το Ηνωμένο Βασίλειο.
Η BlackBerry ανακάλυψε ότι όλες οι λειτουργίες του ransomware ήταν βολικά συγκεντρωμένες σε ένα πακέτο. Κατά την εκτέλεση του πακέτου, η εφαρμογή αναζητά όλα τα πιθανά ονόματα μονάδων δίσκου στο μηχάνημα host. Μόλις μολυνθούν όλοι οι δίσκοι με κακόβουλο λογισμικό το ransomware κρυπτογραφεί τα αρχεία χρησιμοποιώντας την τυπική βιβλιοθήκη κρυπτογράφησης της Go. Αυτά τα πακέτα είναι βιβλιοθήκες ανοιχτού κώδικα που παρέχουν κρυπτογραφική λειτουργικότητα, όπως το CryptoAPI των Windows.
Διαβάστε επίσης: RansomBoggs ransomware: Στοχεύει Ουκρανικά συστήματα
Το ransomware εστιάζει σε οποιαδήποτε μονάδα δίσκου βρίσκεται στο σύστημα, συμπεριλαμβανομένων των συνδεδεμένων μονάδων δίσκου. Κρυπτογραφεί οτιδήποτε δεν μπορεί να κατηγοριοποιηθεί ως εκτελέσιμο αρχείο, πρόγραμμα οδήγησης ή αρχείο κειμένου. Αυτές οι εξαιρέσεις αποτρέπουν την κρυπτογράφηση είτε του σημειώματος των λύτρων είτε κάτι που μπορεί να προκαλέσει προβλήματα στο σύστημα.
Η BlackBerry παρατήρησε ότι η έρευνα μιας άλλης εταιρείας υποδεικνύει ότι η αρχική πρόσβαση της ομάδας απειλών BianLian είναι πιθανό να επιτευχθεί μέσω της αλυσίδας ευπάθειας Windows ProxyShell ή ενός ελαττώματος του firmware του SonicWall VPN. Μόλις διεισδύσουν στο σύστημα, κινούνται πλευρικά για να βρουν στόχους ενδιαφέροντος, να κλιμακώσουν τα προνόμιά τους και να αναπτύξουν το ransomware BianLian. Στη συνέχεια, οι χάκερς επιλέγουν τα αρχεία που θα κλέψουν χρησιμοποιώντας το WinSCP και το 7-Zip, και στη συνέχεια στέλνουν τα δεδομένα πίσω στον εαυτό τους. Μπορεί επίσης να αφήσουν ένα backdoor ώστε να μπορούν να επιστρέψουν αργότερα αν χρειαστεί.
Η Harry Rosen είναι μια αλυσίδα ανδρικής ένδυσης υψηλής ποιότητας που ιδρύθηκε το 1954, με πέντε καταστήματα που βρίσκονται σήμερα στο Τορόντο. Η Digital Commerce αναφέρει ότι η εταιρεία είχε πωλήσεις 300 εκατομμυρίων δολαρίων μόλις το 2020.
Πηγή: itworldcanada.com
